20.30
Präsidentin des Rechnungshofes Dr. Margit Kraker: Sehr geehrte Damen und Herren! Um drei Berichte des Rechnungshofes geht es bei diesen Tagesordnungspunkten, der erste betrifft das System der Wettbewerbsbehörden außerhalb des Finanzmarkts. Es ist richtig, dass dieser Bericht schon im Juni 2019 veröffentlicht wurde, und die Strukturanalyse, die wir da durchgeführt haben, ist natürlich nach wie vor zutreffend, auch wenn sich Zuständigkeiten bei den Ministerien ändern. Es braucht aus unserer Sicht eine umfassende Aufgabenkritik und die Erarbeitung einer Wettbewerbsstrategie, eine Strukturreform der Wettbewerbsbehörden zur Anhebung der Effizienz und zur Steigerung von Synergieeffekten sowie die Entwicklung eines mehrjährigen Finanzierungsinstruments.
Zum Verwaltungssponsoring wurde auch schon viel gesagt, da wurde darüber gesprochen, dass wir eine Zuwendungsrichtlinie brauchen sowie Kriterien, welches Verständnis wir haben möchten. Ich möchte nur dazusagen, dass das einfach auch für die Verwaltung selbst wichtig ist, damit sie weiß, wie sie agieren und handeln kann. Darüber hinaus möchte ich auch sagen, dass es solche Vorschriften in Deutschland schon seit 2003 gibt und die deutsche Bundesregierung zweijährlich einen Sponsoringbericht veröffentlicht. Das heißt also, da sind noch Verbesserungsmöglichkeiten vorhanden.
Der dritte Bericht, der auf der Tagesordnung steht, wurde nicht angesprochen, weil er auch im Ausschuss nicht angesprochen wurde. Ich möchte trotzdem darauf eingehen, weil ich den Bericht für wichtig halte: Es geht um den Bericht betreffend Management der IT-Sicherheit in der Verwaltung ausgewählter Bundesministerien. Diesen Bericht haben wir im September 2021 veröffentlicht, das ist also ein neuerer Bericht.
Wir haben das Bundeskanzleramt, das Sozial- und Gesundheitsministerium, das Wirtschafts- und Digitalisierungsministerium und das Beamtenministerium geprüft. Überprüft wurden die IT-Sicherheitsstrategie, die IT-Sicherheitsorganisation, die Sicherheit der IT-Arbeitsplätze und die Sicherheit der IT-Infrastruktur. Bei dieser Prüfung haben wir einige wichtige Punkte festgestellt, die natürlich weiterhin relevant sind und auch beachtet werden müssen, gerade wenn es zu Ressortumbildungen kommt ... (Zwischenruf des Abg. Strasser.)
Präsident Ing. Norbert Hofer: Frau Präsidentin, wir haben wieder ein Problem mit dem Mikrofon.
Präsidentin des Rechnungshofes Dr. Margit Kraker (fortsetzend): Geht es jetzt? – Danke schön.
Hinsichtlich der Konsolidierung der IT-Ausstattung der Arbeitsplätze wurden in den Ministerien keine wesentlichen Fortschritte erzielt, und das wirkt sich insbesondere bei der Verschiebung von Ressortkompetenzen im Rahmen von Umbildungen innerhalb der Bundesregierung aus. Die IT-Ausstattung und die Sicherheitsmaßnahmen sind in hohem Maße ressortspezifisch geprägt, daher führt die Verschiebung immer zu einem hohen Aufwand, weil die IT-Ausstattung und die Sicherheitsmaßnahmen dann an die jeweiligen anderen Standards anzupassen sind. Das beinhaltet in der Phase der Überleitung IT-Sicherheitsrisken.
Wir haben in diesem Bericht kritisiert, dass im September 2020 – und damit neun Monate nach der Verschiebung von Ressortkompetenzen – im Bundeskanzleramt, im Beamtenministerium sowie im Sozial- und Gesundheitsministerium noch keine ressorteinheitliche IT-Zuständigkeit für die Betreuung und die Sicherheit der Arbeitsplätze gegeben war. Das ist an sich wichtig, und auch jetzt, wenn es wieder zu einer Verschiebung der Agenden kommt.
Es gibt ein IKT-Konsolidierungsgesetz, und in diesem gibt es an sich die Verpflichtung der Vereinheitlichung der IKT – es fehlt aber die dazugehörige Verordnung. Wir empfehlen, eine Konsolidierungsverordnung zu erlassen. Ziel ist es, die Heterogenität zu verringern und die Betreuung der IT-Ausstattung der Arbeitsplätze zu bündeln.
Was das Homeoffice betrifft, sehen wir da auch, dass Vorsorge hinsichtlich der IT-Sicherheit zu treffen ist. Wir empfehlen, Telearbeit dann vorzusehen, wenn es auch eine dienstliche IT-Ausstattung gibt. Weiters ist es notwendig, dass es Notfallszenarien zur Sicherstellung der Kontinuität des IT-Betriebs gibt – diese waren nicht ausreichend festgelegt.
Weiters ist es so, dass in einzelnen Ministerien wichtige IT-Dienstleistungen von externen Unternehmen durchgeführt wurden. Das Digitalisierungsministerium setzte im Wege eines Dienstleisters auch externes Personal ein, das seinen Arbeitsplatz im EU-Ausland hatte – dabei sehen wir einige Risken und glauben, dass in diesem Bereich doch eine Aufsicht über das Personal durch das beauftragende Ministerium notwendig ist.
Schließlich möchte ich auf einen weiteren Bericht hinweisen, den wir jetzt im April veröffentlicht haben, dieser betrifft die Koordination der Cybersicherheit. In beiden Berichten kommen wir zum Schluss, dass aus Sicht des Rechnungshofes eine bundesweite Koordinationskompetenz zur IT-Sicherheit sinnvoll wäre. Nach dem Bundesministeriengesetz ist nämlich das Bundeskanzleramt für Angelegenheiten der strategischen Netz- und Informationssicherheit zuständig; das bisherige Digitalisierungsministerium war zuständig für die Koordination und die zusammenfassende Behandlung in Angelegenheiten der Informationstechnologien; für die ressorteigene IT-Sicherheit ist jedoch das jeweilige Bundesministerium verantwortlich.
Eine Kompetenz zur Koordination der IT-Sicherheit ist im Bundesministeriengesetz nicht ausdrücklich festgelegt, eine solche würden wir jedoch für sinnvoll halten, und deshalb habe ich mich jetzt zu Wort gemeldet. – Danke schön. (Allgemeiner Beifall.)
20.36
Präsident Ing. Norbert Hofer: Zu Wort ist dazu niemand mehr gemeldet. Die Debatte ist geschlossen.
Wird seitens der Berichterstattung ein Schlusswort gewünscht? – Das ist nicht der Fall.
Wie vereinbart verlege ich die Abstimmungen an den Schluss der Verhandlungen über die Vorlagen des Rechnungshofausschusses und fahre in der Erledigung der Tagesordnung fort.